Internationaler Datentransfer: Standardvertragsklauseln jetzt updaten!
Mit dem 27. Dezember 2022 verlieren alle Standardvertragsklauseln für den internationalen Datentransfer, die noch nicht dem neuen Standard 2021 entsprechen, ihre Wirksamkeit. Personenbezogene Daten dürfen dann nicht mehr auf Basis der alten Klauseln in das außereuropäische Ausland transferiert werden. Transfers auf Basis der alten Klauseln verletzen die DSGVO und können Bußgelder oder Schadensersatzforderungen von betroffenen Personen auslösen. Bestehende Vertragsverhältnisse sollten Sie jetzt prüfen und auf die neuen Klauseln 2021 aktualisieren.
Aufgrund der Schrems-II-Entscheidung des EuGHs zum internationalen Datentransfer hat die EU-Kommission am 4. Juni 2021 neue Muster-Klauseln für den Internationalen Datentransfer veröffentlicht („Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates“). Die neuen Klauseln lösen die bisherigen Klauseln aus den Jahren 2001, 2004 und 2010 endgültig ab. Mit dem 27.12.2022 läuft die Übergangsfrist für die alten Klauseln ab, die damit ihre legitimierende Wirkung verlieren. Unternehmen aus der EU sollten ihre internationalen Datentransfers in Drittländer überprüfen und nötigenfalls die bestehenden Verträge anpassen. In der Praxis betrifft das insbesondere
- Verträge mit Cloud-Produkten,
- IT-Service-Verträge bei Nutzung von Service-Centern in Indien oder China und
- grenzüberschreitender Datenaustausch in der Unternehmensgruppe.
Die neuen Klauseln sind weitaus flexibler als die Vorgängerklauseln aus 2010. So können jetzt u.a. auch die in der Praxis häufig vorkommenden Transfers zwischen Auftragsverarbeiter und Unterauftragsverarbeiter sowie Mehrparteien auf beiden Seiten abgebildet werden.
Die bisher oftmals gelebte „unterschreiben und vergessen“-Praxis funktioniert allerdings nicht mehr.
Daten-Exporteure und Daten-Importeure müssen neben dem richtigen Vertragswerk auch die für die jeweilige Übermittlungssituation bestehenden Risiken ermitteln („Transfer Impact Assessment“ / TIA) und Risiken durch geeignete technische und organisatorische Maßnahmen minimieren, beispielsweise durch geeignete Verschlüsselungstechnologien. Auch wenn die Vertragstexte durch die Standardvertragsklauseln 2021 vorgegeben sind, erfordert der Abschluss die enge Zusammenarbeit zwischen Daten-Exporteur und –Importeur. Anhänge müssen gemeinsam ausgefüllt und das TIA durchgeführt werden. Das benötigt erfahrungsgemäß Zeit. Um bis zum 26. Dezember 2022 notwendige Anpassungen hinzubekommen, müssen Sie jetzt handeln.
(Die neuen Standardvertragsklauseln finden Sie hier: Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer | EU-Kommission (europa.eu))